みなさんこんにちは。SB C&Sで技術支援を担当している萩原です。
今回は、主に自治体や医療機関など通信環境が制限された中で、Microsoft 365(以下M365)を利用する際の検討事項や注意事項についてご紹介いたします。
通信環境の整備
自治体や医療機関などは、個人情報を取り扱う環境であることから、インターネットへのアクセスが厳しく制限されているネットワーク環境が多いかと思います。
このようなインターネットが制限されたネットワーク環境においてM365を運用するためには、M365のクラウドサービスに限定した通信環境を構築する必要があります。
アクティベーション通信について
PCにインストールするOffice アプリケーション(Office Apps)は、最低限30日に1回は、M365のクラウドサービスにアクティベーション通信を行う必要があります。Office Appsインストール時に1度インターネットに接続できる環境でアクティベーションを行って、その後はインターネットにアクセスできない環境に配置し、Office Appsを継続利用することはできません。
(参考)Microsoft 365 Appsでのライセンスとライセンス認証の概要
自治体では、J-LISから提供される「自治体情報セキュリティ向上プラットフォーム」のサービスを始め、LGWAN-ASPサービスでOffice Appsのアクティベーション通信だけ疎通できるサービスが提供されています。こういったアクティベーションサービスは、M365サービスの中で、Office Appsがアクティベーションに利用する通信だけをフィルターし疎通制限をした構成になっているケースが多いようですが、実際にアクティベーションサービスをご利用いただいているお客様から「Office Appsのアクティベーション通信に時間がかかる」、「Officeアプリケーション(WordやPowerPoint)などを起動すると、(自動アクティベーションのため)一時的にアプリケーションが応答なしになる」などのご相談をいただくことがあります。
M365へのアクティベーション通信1つをとっても、Microsoftのクラウドサービス接続先は、膨大なアクセス先が存在し、かつMicrosoft側の設備の増強や更新などで通信先の変更が定期的に行われるため、アクティベーションサービス提供事業者側もMicrosoft社の環境変更に応じて定期的な変更が行われているかと思いますが、クライアントが存在するローカルネットワーク側環境もメンテナンスも必要になってきます。快適にOfficeアプリケーションを利用するためには、Proxyサーバーの適切な配置やUTMのポリシー設定の見直しが必要になるケースもあります。設定の詳細は、利用されるサービスや契約しているM365のエディション、ローカルネットワーク環境により異なりますが、M365を導入し、運用でお困りの場合は、SB C&Sへご相談ください。
またこれらアクティベーションサービスの一部では、アクティベーション疎通のみに制限をしているため、以下のようなことができないケースがあります。
- Entra IDへのデバイス登録ができない
- オンプレミスとのActive Directoryとのアカウント同期(Entra Connect)ができない
- Teams、SharePoint、FormsなどM365のOffice Apps以外のサービスにアクセスできない
各M365機能利用可否の詳細は、各アクティベーションサービス提供事業者によって異なりますので、サービスの契約前に、利用したい機能がそのサービスで利用可能かを確認しておくことが重要となります。
医療期間など、アクティベーションに限定したサービスが提供されていない機関においては、UTM装置などを利用し、アクティベーション疎通のみを制限する環境を作成する必要があります。2024年3月現在、主要なUTM製品では、Office アプリケーションだけ通信を通すようにプリセットされたテンプレートポリシー(いわゆるISDBなど)を持っていないように思われます。今後の新しいアップデートで追加される可能性がありますが、現状では個別のポリシー設定が必要となります。
アクティベーション以外の通信制限について
Office Appsのアクティベーション通信以外に、OneDriveやSharePointなどのクラウドストレージ、FormsやPower AppsやPower BIなどのアプリケーションなどの通信を限定的にアクセスさせたい場合があります。この場合、UTMによるアプリケーションコントロールで行うパターンと、URLでアクセスを制限する方法と2つの手法が選択できます。
なお、M365の通信先については、Microsoftのサイトで接続先の一覧が掲載されています。ただし、Officeアプリケーションのアクティベーションにおいては、一部記載の無いドメインにアクセスをしているケースがあることを確認しています。ページの内容は、参考にしつつも実際に動作の検証を行い通信しているドメイン名を細かくチェックする必要があります。
また、アクセス先のIPアドレスは膨大かつCDNが利用されている背景から、UTMやFirewall装置にIPアドレスベースでポリシー作成するのでは無く、FQDNを使ってポリシー作成することをお勧めします。(FortiGateのように、ファイアーウォールのルールにFQDNで通信先登録ができる機器を選択してください)
(参考)Microsoft 365 の URL と IP アドレスの範囲
Office Appsのアップデートについて
3つのサポートチャネルについて
M365は、前途の通りクラウドサービスです。インストール型のアプリケーションであるOffice Appsもクラウドサービスとして提供されています。そのため、定期的なアップデートが必要となります。
Officeアプリケーションには、まず3つの更新チャネル(更新頻度)があることを認識しておく必要があります。
| チャネル名 | リリース頻度 | リリース日 | サポート期間 |
|---|---|---|---|
| Current Channel | 新機能のリリース後、直ちに提供 | 直ちに | およそ1ヵ月 |
| Monthly Enterprise Channel |
新機能のリリースを月に1回予定スケジュールにて提供 | 毎月1回、第2火曜日 | 2ヵ月 |
| Semi-Annual Enterprise Channel |
新しい Office 機能を展開する前に広範なテストが必要な環境向け | 毎月1回、第2火曜日 | 14ヵ月 |
ODT(Office Deployment Tool)や、Microsoft 365ポータルを意図的に設定せずにOffice Appsのインストーラーを実行した場合は、最も更新頻度が高いCurrent Channelがインストールされます。Current Channelは、サポート期間が短く頻繁なアップデートが必要となりますが、その代わりに新しくリリースされるM365機能をいち早く利用可能です。
各クライアントがインターネットに直接アクセスが出来ない環境の場合、アップデートの頻度が高いと運用管理者側の負荷が大きくなるため、サポート期間が長いSemi-Annual Enterprise Channel(半期チャネル)での利用が適用しやすいケースが多くなると考えられます。
▼Microsoft 365管理センターでのチャネル選択画面
アップデートの方法について
Office Appsの更新バージョンは、従来のOfficeアプリケーションのようにWSUSを使って配付することはできません。アップデートについては、まずシステム管理者がアップデートしたいバージョンのOffice Appsバイナリを、ODTを利用して取得することが必要となります。取得したバイナリは、Officeアプリケーションがインストールされたクライアントからアクセスできる、ファイルサーバーもしくはWebサーバーに配置を行います。併せて、クライアントにグループポリシーなどを利用してアップデートバイナリの場所を指定することで、クライアントのOfficeアプリケーションがアップデートされる仕組みを作ることができます。
ファイルサーバーとWebサーバーの2つの提供方法があると記載をしましたが、自治体や医療機関においては、Active Directoryのドメインに参加をしない部門システムなどがあり、WORKGROUPで一部の端末を運用されているケースがあるかと思います。その場合、ファイルサーバー経由での配付になると、ファイルサーバーアクセスへの認証が必要になります。Office Appsのアップデート時には、認証情報を付与できないため、ファイルサーバーにアクセスができずアップデートができない状況が発生します。そのような環境の場合は、認証を必要としないHTTPを利用した提供を行う事で、ドメインの参加に関係無くOffice Appsのアップデート環境を作ることが可能となります。
アップデートの時間について
WSUSの場合は、グループポリシーなどでクライアントのアップデート時間を指定することができました。Officeアプリケーションの場合は、インストーラー形式にMSIを利用しておらずC2R形式という新しい展開方法が採用されています。これは、Office 2021 LTSCなど、いわゆるオンプレミス版のOfficeアプリケーションでも採用されています。このC2Rは、WSUSのようアップデートの時間指定を行うことは出来ません。
タスクマネージャーには、以下のようにPCへのログイン時やアイドル時に実行されるようになっています。意図的にアップデートの時間を指定したい場合は、C2RClient.exeの実行を制御することで意図的にアップデートを行うことは可能です。この場合、資産管理ツールなどを利用して行う方法も1つかと思います。
▼タスクスケジューラーに自動設定されたアップデート用のタスク
まとめ
Microsoft 365におけるOffice Apps1つをとっても、様々な注意点を抑えた運用をしておかないと、運用後に意図しないトラブルに出会うことも考えられます。特にインターネットにつながることが前提として作られたMicrosoft 365を通信制限が行われている環境下での利用は、制限の状況によって利用できる機能やOffice Apps自体の挙動にも影響するため環境の正しい把握が必要となります。また、展開後も定期的なアップデートやアクティベーション通信など引き続き配慮すべき事項があるため、細かなノウハウを抑えておく必要があります。
自治体や医療機関へMicrosoft 365の導入には、細かなノウハウが必要になってきますので、是非SB C&Sへご相談ください。
ご相談・お問い合わせは、こちらからどうぞ。
自治体でMicrosoft 365をご利用になる場合は、以下も参考にしてください。
著者紹介
SB C&S株式会社
ICT事業本部 技術本部 第3技術部 2課
萩原 隆博 - Takahiro Hagiwara - (Nutanix NTC)
HCIを中心とした仮想化とMicrosoft 365のプリセールスエンジニアを担当しています。
Nutanix Technology Champion 2018-2024
